Ciemna strona Javy

Znalazłem całkiem ciekawy artykuł, źródło to darkreading.com a autorem jest Kelly Jackson Higgins. Zostawiam tłumaczenie tego:

Ciemna strona Java

Metasploit dodaje nowy moduł do najnowszych ataków Java, gdy Java staje się nowym ulubionym celem cyberprzestępców

01 grudnia 2011 | 08:08
Kelly Jackson Higgins
Mroczne czytanie
Jest to dekadenckie narzędzie ze strony programistów, ale Java pozostaje główną i wciąż często zapomnianą obecnością komputera, na którą coraz częściej celują złoczyńcy.
Dlaczego Java jako wektor ataku?

Jego przenikalność i ogromna liczba przestarzałych wersji działających na komputerach sprawiają, że Java jest ostatnio wybieranym przez hakerów czarnym kapeluszem. Liczby mówią wszystko: według danych Qualys około 80 systemów korporacyjnych obsługuje przestarzałe, niezaktualizowane wersje języka Java. Od trzeciego kwartału 2010 roku Microsoft wykrył lub zablokował około 6.9 miliona prób exploitów Java co kwartał, co daje w sumie 27.5 miliona prób exploitów w tym 12-miesięcznym okresie.
Ogółem Javy na świecie używa 3 miliardy urządzeń, a 80% przeglądarek tak. W międzyczasie niektórzy bardzo obeznani z bezpieczeństwem użytkownicy wyłączają go lub całkowicie odinstalowują jako środek ostrożności.
Twórcy popularnego narzędzia do testowania penetracji Matasploit o otwartym kodzie źródłowym dodali w tym tygodniu nowy moduł dla najnowszego ataku Java, który wykorzystuje niedawno załataną lukę w implementacji Java firmy Oracle, Rhino. Usterka w Oracle Java SE JDK oraz JRE 7 i 6 w aktualizacji 27 i wcześniejszych wersjach, o której początkowo poinformowali badacze tutaj y tutaj a potem szybko doszło do skutku w potajemnym zestawie kryminalnym, jak odkrył bloger Brian Krebs twoja strona internetowa. Krebs On Security poinformował, że atak był również przeprowadzany w ramach zestawu crimeware BlackHole.
«Java jest wszędzie tam, gdzie chce i nikt nie aktualizuje jej poprawnie«Mówi HD Moore, twórca i główny architekt Metasploit i CSO w Rapid7. «Bardzo niewiele firm aktualizuje go na swoich komputerach.»
„Oracle oferuje funkcję automatycznej aktualizacji dla języka Java, ale do korzystania z niej wymagane są uprawnienia administracyjne użytkownika komputera, na co większość firm nie zezwala„Mówi Moore.

Dyrektor Microsoft Trusted Computing, Tim Rains, na początku tego tygodnia wskazał w poście, że poprawki błędów w oprogramowaniu Java firmy Oracle są oblężone od miesięcy. «Luki w oprogramowaniu Java firmy Oracle są atakowane na stosunkowo dużą skalę od kilku miesięcy i jak wspomniałem, aktualizacje zabezpieczeń dla tych luk są dostępne od jakiegoś czasu.»Mówi Rains. «Jeśli ostatnio nie aktualizowałeś środowiska Java w swoim środowisku, powinieneś ocenić istniejące ryzyko. Organizacje muszą między innymi mieć świadomość, że mogą działać różne wersje języka Java.", On mówi.

Luka Oracle w Javie, którą Oracle załatała w zeszłym miesiącu, w zasadzie pozwala apletowi Javy na uruchamianie dowolnego kodu poza piaskownicą Java. Moore z Rapid7 mówi, że tak zwany Java Rhino Exploit (który działa na wielu platformach, w tym Windows, iOS i Linux) występuje w tle, nieświadomy dla użytkownika dotkniętego exploitem. Co ciekawe, Linux jest teraz bardziej podatny na ataki. «Oracle załatał to, Apple zażądał aktualizacji oprogramowania. Ale większość sprzedawców Dostawcy Linuksa ?? nie zażądali aktualizacji„Mówi Moore.
Jest to zwykle używane jako pierwszy etap w wieloetapowym ataku, używany do pobrania pliku wykonywalnego lub do zainstalowania bota.
Wolfgang Kandek, CTO w Qualyx, mówi, że tenier Metasploit obsługujący najnowszy exploit pomógłby zwiększyć świadomość zagrożeń związanych z przestarzałymi aplikacjami Java. «Korzyści z posiadania tego w Metasploit są takie, że mili goście mogą zademonstrować, jak działa ten [atak]", on mówi.
Dodaje, że wiele organizacji, które korzystały z przestarzałych aplikacji Java na danych klientów Qualys, to duże firmy. «Istnieje tendencja do braku dobrych procesów do łatania Javy. Leci pod radarem", On mówi.

---- I tu artykuł się kończy.

Niewątpliwie ma to wiele wspólnego z tym, o czym wspomnieliśmy wcześniej ... czyli z czym Canonical przestanie oferować Javę od Oracle w swoich repozytoriach (Ubuntu, Kubuntu, Xubuntuitp.), cóż, oczywiście, tak wyrocznia nie pozwala na dołączanie aktualizacji, nie jest tego warte, ponieważ użytkownik byłby zbyt podatny na ataki takie jak te wymienione powyżej.

Zresztą, co o tym myślisz? 😉

pozdrowienia

PD: Jeszcze wczoraj czytałem samouczek o tym, jak można zainstalować Linuksa na mojej Nokii N70, nadal nie zdecydowałem się na to LOL !!!


18 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   niewidoczny15 powiedział

    Używam IcedTea (OpenJDK, darmowy) przez długi czas i prawie zawsze mam go wyłączony, ponieważ prawie go nie używam ...

  2.   Alf powiedział

    Mam niewiele, około 3 miesiące z OpenJDK, nie wiedziałem dokładnie, jaka jest luka w zabezpieczeniach w javie, zmieniłem to tylko po to, żeby zobaczyć jak działa libreoffice 😛

  3.   Erytryma powiedział

    Wiem, że to prawie offtopic, ale… Linux na Nokii? Tak jak? Gdybym mógł wyjąć symbian m___ z mojego 5800, byłbym zachwycony!

    1.    KZKG ^ Gaara powiedział

      Czy wiesz, że Symbian jest pierwszym kuzynem Linuksa? 😀
      Zresztą nadal nie czytam wystarczająco dużo informacji o tym Linuksie na Nokii ... nie martw się, jak znajdę jakieś przyzwoite informacje, podam Ci linki 😉

  4.   Tina Toledo powiedział

    KZKG ^ Gaara… nie przejmuj się mną, ale… są błędy w tłumaczeniu, na przykład:

    1 .- «… sprawiają, że Java jest ostatnio wybieraną przez hakerów czarnych kapeluszy» powinno być «.. ostatnio sprawiają, że Java jest wyborem złośliwych hakerów»

    2.- „Dostawca” w języku angielskim oznacza również „Dostawca” („Dostawca”), więc fraza „Ale większość dostawców Linuksa…” pozostaje bez problemu „Ale większość dostawców Linuksa…”

    pozdrowienia

    1.    KZKG ^ Gaara powiedział

      Nie za nic 😀
      Naprawdę mi to nie przeszkadza, nie jestem profesjonalnym tłumaczem, a tym bardziej LOL !!!
      Naprawię to teraz 😉

      Naprawdę bardzo dziękuję, zrozumienie angielskiego nie jest dla mnie trudne, trochę skomplikowane jest dla mnie napisanie go i zamówienie po hiszpańsku 😀

      pozdrowienia

      1.    Tina Toledo powiedział

        🙂
        To samo dzieje się ze mną z hiszpańskim; zdania zawierające lokalne wyrażenia są dla mnie trudne do zrozumienia. Chociaż są już przynajmniej niektórzy wciąż mi uciekają.
        „Czarny kapelusz hakera” to wyrażenie używane do określenia złośliwego hakera iz pewnością trudno jest przetłumaczyć je na hiszpański.

        Pozdrowienia i mocny uścisk

  5.   Odwaga powiedział

    Czy jesteś świadomy tego, co mówisz

    Nie wiem, ale mam świadomość, że „świadomy” nie pojawia się w słowniku RAE.

    Mamy również dostawców Linuksa, takich jak Tito Mark i jego poplecznicy

    1.    KZKG ^ Gaara powiedział

      Zobaczmy ... mój laptop jest Made in China, ale kontrola JAKOŚCI to seria B HP, czyli ... komponenty są produkowane w Chinach (tania siła robocza ...), ale kto decyduje, które komponenty są wystarczająco dobre, to producent 😉

  6.   Tina Toledo powiedział

    „Oracle oferuje funkcję automatycznej aktualizacji dla języka Java, ale wymaga uprawnień administratora do korzystania z niej, na co większość firm nie zezwala”
    „Istnieje tendencja do braku dobrych procesów poprawiania Javy”.

    Więc problemem nie jest Java, ale użytkownicy nie mają zwyczaju jej aktualizować, prawda?

    1.    pandev92 powiedział

      Szczerze mówiąc, problem z javą to bezpieczeństwo, jeśli porównamy go z flashem, to jest 20 razy bezpieczniejsza java, problem w tym, że jest to język, który się czołga. sexy jest się uczyć, ale to koszmar, LOL!

      1.    pandev92 powiedział

        Chciałem powiedzieć * nie tak bezpieczeństwo *

    2.    KZKG ^ Gaara powiedział

      Wiele razy nie mamy też takiej możliwości, Oracle z jej ograniczeniami.
      Ze swojej strony używam OpenJDK i na razie żadnych skarg 🙂

  7.   José Miguel powiedział

    Próbowałem w Debian Squeeze odinstalować sun-java i powrócić do domyślnych, a… to ostatecznie zakończyłem.

  8.   ubuntero powiedział

    prawda jest taka, że ​​java dawno temu była dobrą alternatywą, teraz jest po prostu wiele problemów 🙁

  9.   Benybarba. powiedział

    Jedną z zależności w Meksyku jest SAT i IMSS, która zapewnia, że ​​musisz używać bardzo starych wersji ponad 3 lata, ponieważ nie możesz wejść na ich portale.

  10.   Luisa Armando Mediny powiedział

    Pracuję głównie z użytkownikami administracyjnymi i nigdy niczego nie aktualizują i używają javy w wielu programach rządowych i które koniecznie wymagają pewnych wersji, które zawierają duże luki, jest to również temat, który instytucje takie jak IMSS i SAT w Meksyku powinny traktować poważniej i zachowaj swoje aplikacje i nie rozpowszechniaj już oprogramowania stworzonego w 2004 roku lub wcześniej z takimi problemami

  11.   B powiedział

    Cóż, używam sun-java od jakiegoś czasu i prawda jest taka, że ​​nie mam żadnych skarg na wyniki, o których zawsze marzyłem, a nawet wykraczam poza konwencjonalne. Openjdk do rozwoju nie jest czymś, co polecałbym nikomu, chociaż przypuszczam, że to jest moje kryterium. Twoje zdrowie